1 WAF Web Application FirewallsIvan Garzon - Fredy Rios Marzo -2015
2 Que es un WAF El WAF “Web Application Firewalls” es un componente adicional de seguridad que a diferencia de los Firewalls tradicionales trabaja directamente en la capa de aplicación analizando el trafico web permitido a un servidor, este puede ser implementado utilizando un appliance o software.
3 Que ayuda a mitigar el WAF?Con la implementación de WAF podemos mitigar algunos ataques como: SQL Injection: Radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL Cross Site Scripting (XSS): permite a una tercera parte inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje script similar Cross Site Request Forgery (CSRF) Directorios o Archivos sin protección “URL Hardening” Análisis de archivos que se suben al servidor Wikipedia
4 Modelos de Seguridad Positiva: NegativasConsiste en denegar todas las peticiones y solo permite las que identifica como validas o seguras Negativas Consiste en permitir todas las peticiones y solo denegar las que considera como un ataque o una amenaza.
5 Detectando WAF Podemos utilizar dos formas para detectar si un servidor web tiene por medio una WAF que proteja sus aplicaciones: Descubrimiento Manual por medio de análisis de cookies y de los HTTP headers Descubrimiento automático utilizando herramientas como: Wafw00f, ParadoxWAFDT
6 Descubrimiento Manual WAFRealizando un Telnet al puerto 80 vemos que la respuesta no esta dando directamente el servidor web sino que esta respondiendo un host de Incapsula que es el servicio de IMPERVA de WAF
7 Descubrimiento Automático WAFUtilizando la herramienta wafw00f podemos determinar que este sitio no tiene al parecer un Firewall de aplicación
8 Descubrimiento Automático WAFUtilizando la herramienta wafw00f podemos determinar que este sitio esta utilizando un firewall de aplicación debido a la respuesta obtenida
9 Algunos WAF Open Source Comerciales Mod_security Ironbee ESAPI WAFSophos Imperva Trustwave Fortinet Akamai
10 Dolores de Cabeza con los WAFConfiguraciones que no están ajustadas lo que generan falsos positivos y de acuerdo al Modelo de seguridad configurado el servicio se puede ver afectado. Errores en el Diseño de implementación esto puede generar lentitud en los servicios por no tener clara el escenario de implementación. Fallo en el dimensionamiento de los recursos para la carga del WAF.
11
12
13
14
15
16 Protección de
17 Protección de red(IPS, Firewall, VPN)
18 Protección de navegación
19 WAF Web Aplication Firewall (patrones de ataque)
20 Antivirus para subida y bajada de archivos.
21 WAF– URL Hardening. www.vulnerable.com /products /solutions /resources/ASG /AMA /ACC /NetSecurity /MailSecurity /WebSecurity /datasheets /webinars PERMITIDO NO PERMITIDO! PERMITIDO Y FIRMADO DE COOKIES NO PERMITIDO
22 Firmado de cookies
23 Que hay de Nuevo?
24 Que hay de Nuevo?
25 Que hay de Nuevo?
26 Laboratorio
27
28 Referencias https://www.owasp.org/index.php/Web_Application_Firewallhttps://en.wikipedia.org/wiki/Application_firewall https://pentestlab.wordpress.com/tag/waf/ https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf